网络与数据库安全审计系统方案

1、网络与数据库安全审计系统方案目录用户需求特性优势 客户价值产品介绍 与数据库相关的安全事故信息泄露信息篡改不良记录删除数据库被破坏谁干的，外贼还是内鬼？IntranetInternet直接危害巨额经济损失巨大信誉损失大量法律纠纷假如危害持续充值密码循环盗用大量客户资料被窃商业核心机密泄漏业务数据信息清空业务信息系统中断A地运营商循环作案数月之久作案手段多样一个案例某工程师发现合法的人做非法的事刻不容缓权限滥用权限提升身份验证不足拒绝服务平台漏洞通信协议漏洞 SQL 注入 审计记录不足 备份数据暴露数据库主要安全风险解决方案不包含威胁特征的操作行为IP欺骗蠕虫病毒IDSIPSUSGAV入侵攻击木

2、马僵尸Hacker合法用户滥用操作和误操作不明账号的操作DBA或超级用户的操作共用账号操作无法溯源利用技术手段空缺的行为滥用不规范操作带来的DB风险破坏数据库审计产品，监控针对数据库的不合规行为。DB审计相关政策法规-审计时间法规相关行业2001计算机信息系统安全保护等级划分准则政府行业2002商业银行内部控制指引 金融行业2002-2004 2002 Sarbanes-Oxley Act (bilingual) 、 PCAOB Auditing Standard No. 2美国上市的企业2005-2006国家电力监管委员会第5 号令 电力二次系统安全防护规定电力二次系统安全防护专家组和工作组

3、提出电力二次系统安全防护总体方案；电力行业2004-2005中国移动集团内控手册、中国移动业务支撑网安全域划分和边界整合技术规范中国电信股份有限公司内部控制手册中国网通集团信息质量问责管理若干规定 、中国网通集团内部控制体系建设指导意见 电信行业2006银行业金融机构信息系统风险管理指引商业银行合规风险管理指引中国银行业监督委员会办公厅文件银监办通313号保险公司内部审计指引（试行）保险公司风险管理指引（试行）金融行业2006深圳证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引 中国上市的企业2008国家电网信息化工作部印发316号文件 国家电网公司信息化“SG186”工程安

4、全防护总体方案(试行)通知电力行业2008内部审计具体准则第28号信息系统审计政府、央企2010网上银行系统信息安全通用规范网络架构、数据安全需审计金融行业等级保护等级保护网络安全、主机安全、应用安全二级、三级、四级等级保护大类小类要求二级要求网络安全安全审计2主机安全安全审计4应用安全安全审计3三级要求网络安全安全审计4主机安全安全审计6应用安全安全审计4四级要求网络安全安全审计6主机安全安全审计7应用安全安全审计5等保-网络安全要求审计对象人员、边界和重要网络设备（包括安全设备）审计记录、审计策略审计要求二级：应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录二级：审计记录

5、应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息三级新增：应能够根据记录数据进行分析，并生成审计报表三级新增：应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等四级新增：应定义审计跟踪极限的阈值，当存储空间接近极限时，能采取必要的措施，当存储空间被耗尽时，终止可审计事件的发生四级新增：应根据信息系统的统一安全策略，实现集中审计，时钟保持与时钟服务器同步等保-主机安全要求审计对象审计员、重要服务器操作系统、重要数据库系统审计要求二级：审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户二级：审计内容应包括重要用户行为、系统资源的异常使用和重要系统命

6、令的使用等系统内重要的安全相关事件二级：审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等二级：应能够根据记录数据进行分析，并生成审计报表三级新增：应保护审计进程，避免受到未预期的中断三级新增：应保护审计记录，避免受到未预期的删除、修改或覆盖等四级新增：应能够根据信息系统的统一安全策略，实现集中审计等保-应用安全要求审计对象审计员，重要应用系统审计要求二级：应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计二级：应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录二级：审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等三级新增：应提供对审

7、计记录数据进行统计、查询、分析及生成审计报表的功能四级新增：应根据系统统一安全策略，提供集中审计接口目录用户需求特性优势 客户价值产品介绍 产品架构捕包管理系统报表系统网络数据包网络数据包解析通信审计策略浏览器天玥网络安全审计系统引擎数据中心零拷贝碎片重组状态检测协议解析流重组规则匹配攻击检测响应解密技术日志上传事件告警违规阻断对外接口系统管理策略配置日志存储关联分析 数据库访问关联 - 实时三层关联 - 跳转访问审计 - 嵌套操作审计 数据库细粒度审计 - 操作对象细分 - 操作类型细分 - 客户端类型细分 - 数据库响应细分 全面协议支持 - 数据库协议：Oracle等13种 - 字符协议

8、：Telnet、SSH - 图形协议：RDP、VNC - 文件协议：Netbios、FTP、NFS - 邮件协议：SMTP、POP3 - 其他：Radius、HTTP、HTTPS产品特性 数据库安全监控业务网合规审计客户价值 审计日志处理 - 高速日志记录 - 有效日志检索 - 客户化审计报表 全过程审计天玥网络安全审计系统让数据库安全变得简单 以数据为核心关注应用安全 高性能处理 深层监测 精确溯源深层监测全方位审计OracleSQL-ServerDB2数据库操作TeradataSybase人大金仓南大通用达梦数据库InformixTelnetRloginRDP/VNC运维协议Netbios

9、/NFSSSH公开协议解析不同的编码格式的协议非公开协议解析的能力不同版本的协议MySQLCachePostgreSQLSCPSFTPFTP围绕数据库的业务网络的合规审计，同时支持各种运维协议。HTTP（S）SMTP/POP3神通（Oscar ）深层监测过程关联审计对跳转访问、嵌套操作、三层模式访问进行关联审计。URLSQL深层监测策略配置用户IP资源IP策略生效时间详细定义针对各种数据库行为的审计策略，包括数据库响应。页面告警入日志库Syslog告警SNMP告警短信告警邮件告警自然人帐号服务帐号深层监测操作规则集缺省规则集自定义规则集细粒度的操作规则集定义，保证了精细审计和准确控制。数据库访

10、问实时统计数据库访问趋势统计最近30天告警事件统计最近3个月告警事件统计最近30天告警事件操作对象表统计最近3个月告警事件操作对象表统计深层监测各种专业趋势信息精确溯源细粒度日志对于审计到的网络访问行为进行细粒度解析和记录，具体到列和值。精确溯源信息钻取审计会话与事件互相关联，报表的统计数字可直接下钻到具体事件。精确溯源查询统计和报表报表系统，提供审计状态展现、日志查询、统计取证、审计报告。状态查询统计取证报告目录用户需求特性优势 客户价值产品介绍 各类数据库访问行为及内容审计对数据库系统返回结果进行审计和关键信息还原Select * from T-UserIDnameage1a162b323

11、c28细粒度解析：命令、表、客户端程序名、操作结果、响应时间、列名、列值等。存储过程内容审计数据库传统数据库审计只审计存储过程名：EXECUTEau_info_all审计存储过程名和内容CREATEPROCEDUREau_info_allAS SELECTau_lname,au_fname,title,pub_nameFROMauthorsaINNERJOINtitleauthortaONa.au_id=ta.au_idINNERJOINtitlest ONt.title_id=ta.title_idINNERJOINpublisherspONt.pub_id=p.pub_idGO应用系统运维

12、人员解决了违规者利用存储过程调用来躲避数据库审计的问题异常行为智能审计通过自学习，自动建立访问行为基线。超过基线的异常访问智能告警，极大降低人工配置策略和分析审计日志的工作量。账号Alice客户端程序：CrmApp.exe访问表：Customer操作类型：select、insert、update访问频率：一小时内select不超过200次，update不超过50次账号Bob客户端程序：PLSQL访问表：Salary，Employee操作类型：select、insert访问频率：一小时内不超过10次账号Mary客户端程序：ErpApp.exe访问表：Order操作类型：insert、update

13、访问频率：一小时内insert不超过10次,update不超过3次异常：一小时内对Order表88次insert用户1用户2用户3客户端2应用系统(集群)数据库服务器（集群）数据库账号常见业务系统架构业务操作先访问应用系统，应用再访问数据库，存在账号、路径追溯的问题web应用前后台关联审计客户端1业务账号1业务账号2业务账号3客户端3web应用前后台关联审计（续）时间级别数据库帐号源IP数据库名表名命令SQL2013-03-15 16:30:01低级WebusrORALUser_rolesSELECTSELECT name FROM user_roles WHERE role = CONNEC

14、T2013-03-15 16:30:01中级WebusrORALUser_rolesUPDATEUpdateuser_roles set password 123 WHERE role = CONNECT时间级别业务账号业务客户端IP业务URL数据库帐号数据库名表名命令SQL2013-03-15 16:30:01低级Alice/xxWebuserORALUser_rolesSELECTSELECT name FROM user_roles WHERE role = CONNECT2013-03-15 16:30:01中级Bob/xxWebuserORALUser_rolesUPDATEUpda

15、teuser_roles set password 123 WHERE role = CONNECT常规审计：只能审计页面访问或数据库访问的单一过程，无法追踪溯源关联审计：前后台关联，得到SQL的业务用户ID，得到页面动作引发的数据库变化数据库操作命令级阻断传统审计产品：会话级阻断，阻断效果无法保障天玥：当需要更强防护手段时，可命令级阻断，只对高危操作执行阻断，当前会话依然存活。高性能处理数据中心与审计引擎采用独立平台，将管理与检测分担在不同硬件，提高整体处理性能。采用专业的状态检测和特征匹配相结合算法，提升数据包解析速度。数据预处理技术，将日志的检索和统计工作分散进行，1T日志的检索速度达秒

16、级。借鉴启明星辰IDS的零拷贝技术，千兆网络捕包性能达到线速。专业设计的数据库结构，优化审计日志入库方式，提升入库速度，达10万条/秒以上。业界最高！IDS审计零拷贝状态检测特征匹配审计响应DB预处理审计日志审计报表多级分布式管理，全方位审计多级管理：适应用户多层管理架构，可以实现审计系统的多级管理。分布式部署：一个数据中心可以对多个审计引擎进行管理和控制。数据库服务器区域数据中心在线引擎运维区域旁路引擎在线审计实现的基础为“建立唯一访问路径，一切的行为均通过该路径进行访问，只审计该路径”旁路审计实现的基础为“一切网络访问行为均不可信，均需要审计”两种审计部署方式存在着很强的互补性，通常都会一

17、起部署，从而实现控制与审计的完美结合全方位保障数据库安全结合漏洞扫描、接入认证、访问控制和攻击检测等手段，充分保证数据库安全漏洞扫描接入认证访问控制SQL注入、XSS攻击防护安全审计数据库全面&细微兼容CVE、CNCVE、CNNVD数据库漏洞数580+提交CVE漏洞数85+微软MAPP合作伙伴密码USBkeyLDAP、AD域Radius吉大正元北京CA数据库审计的发展历史SQL记录语义解析关联审计DAP会话记录2003年2005年2008年2010年2012年漏洞扫描违规阻断攻击防护行为审计访问控制性能监控技术优势数据库审计的多项领先技术产品支持的数据库类型最多第一家提出数据库“语义解析”的审

18、计方法第一家通过IPv6 Phase2 Ready认证第一家通过安全产品测评EAL 3级认证第一家通过保密局审计产品增强级认证第一家支持在线部署和实时命令阻断的审计产品产品采用的专利技术最多2003年上市，十年的技术积累，造就了多项业内第一第一家提出“三层关联”的审计方法技术优势专利列表CN1953454 基于角色管理的安全审计方法及系统 CN101388010 一种Oracle数据库审计方法及系统CN101426008 一种基于回显的审计方法及系统 CN101436956 一种数据库操作响应时间测算方法及系统 CN101388899 一种Web服务器前后台关联审计方法及系统 CN101453

19、358 一种oracle数据库绑定变量的sql语句审计方法及系统 CN101453359 一种数据库错误信息提取方法及系统 CN101471926 网络行为审计访问规则定义方法及系统 CN101561806 DB2数据库操作的信息提取和审计方法及其装置、系统 CN101562528 一种网络审计类软件的授权方法 CN101562603 一种通过回显解析telnet协议的方法及系统 CN101582880 一种基于被审计对象的报文过滤方法及系统 CN101527626 TELNET用户操作过程静态数据的保存回放方法 CN101478406 一种实时监视远程用户网络操作行为的方法。 市场优势国内市

20、场排名第一中国区数据库安全审计与防护市场占有率第一市场优势产品资质与荣誉通过各权威机构最高级别认证，获得多项荣誉计算机信息系统安全专用产品销售许可证（国标增强级） 国家信息安全认证产品证书（ EAL 3）涉密信息系统产品检测证书（增强级）强制认证产品证书（增强级）军用信息安全产品认证证书（军B级）计算机软件著作权登记证书 IIPv6 Ready Phase-2认证2012年中国区数据库安全审计与防护市场领导奖2010年度最佳数据库安全审计产品北京市自主创新产品行业采购网络安全产品首选品牌特性优势总结协议支持最多：全面覆盖13类数据库系统；全面覆盖业务网运维环境；协议解析最深：精确到命令级的深层

21、审计；SQL语义解析；技术基础最厚：创新型的RBAC审计模型；融合IDS的技术积累;最广泛深入的协议解析实时三层关联：数据库行为到WEB客户端的精确定位；业务跳转审计：通过服务器的跳转访问行为全程跟踪；日志关联查询：访问会话和具体操作的关联查询；关联统计报表。业务操作全过程审计行业应用最广：已遍及四大运营商、金融、大企业、政府机构等；行业应用最多：超过100家大型用户的应用锤炼；应用基础最厚：融合在风险评估、管理咨询、安全域建设等领域的实践积累。紧贴客户的最佳实践深层监测精确溯源目录用户需求特性优势 客户价值产品介绍 避免与数据库相关的安全事故信息泄露信息篡改不良记录删除数据库被破坏内部人员违

22、规记录关键操作报警误操作和攻击防范高危操作阻断产品型号丰富的产品型号和性能规格，覆盖绝大多数用户的部署需求GE500ECA500GE1000ECA2300CA2800天玥网络安全审计系统GE1500ERGE1800ERCA3600CA6500大型企业级万兆网络应用中小型企业级百兆网络应用中型企业级千兆网络应用大中型企业级千兆网络应用大型企业级千兆网络应用CA8800不包含威胁特征的操作行为IP欺骗蠕虫病毒IDSIPSUSGAV入侵攻击木马僵尸Hacker行为 合法用户滥用操作和误操作不明账号的操作DBA或超级用户的操作共用账号操作无法溯源利用技术手段空缺的行为滥用不规范操作带来的DB风险破坏DB 满足合规性要求，顺利通过等级保护、分级保护、IT审计 有效响应、减少业务系统核心信息资产的破坏和泄漏 有效控制运维操作风险，便于事后追查原因与界定责任